前言

2月16日，在首届ICT软件供应链安全治理论坛暨信息通信软件供应链安全社区第二届成员大会上，由数世咨询创始人李少鹏先生主持，社区首席专家中国铁塔信息技术研究院院长叶臻同志、绿盟科技副总裁曹嘉先生、鹏信科技CTO章亮先生、北大软件高级工程师潘克峰先生、默安科技董事副总裁沈锡镛先生、威尼斯娱乐官网地址4886创始人兼CEO付杰先生共同参加，以“新形势下，软件供应链安全风险及应对”为主题，在治理趋势、运营理念和技术探索方向发表洞见。

近年来，针对软件供应链的攻击事件一直呈快速增长态势,软件供应链安全成为网络安全市场的“新热点”，从Gartner报告看，软件开发安全相关技术，如DevSecOps、软件成分分析等正处于技术成熟度曲线的上升和快速发展阶段。

软件供应链安全的目标是保护软件从开发到部署的全生命周期的安全可信赖。随着云原生技术的兴起和使用，我们也需要关注云原生技术底座如微服务、中间件和DevOps等技术的安全，这一系列新技术使得企业实现软件供应链安全的复杂度大大增加。总的来说，云原生技术是一种架构，是多种技术的集合体，它使用了微服务架构和容器等关键组件，再通过DevOps进行开发、构建和自动化快速部署到云原生基础设施环境中。由此，多工具组合的云原生应用保护平台必不可少。

威尼斯娱乐官网地址4886付杰先生就平台化的方式构建一体化的可运营能力，以及实现工具自动使用、数据自动分析、风险自动控制的管理体系搭建方面分享了自己的观点。

随着数字化转型的不断加深，DevOps、云原生等技术得到更广泛的应用，软件的交付周期从传统的以年、月为单位，逐步加速到以周、以天甚至以小时为单位，这对软件供应链安全带来了巨大挑战。为了响应这种调整，必须引入新的技术工具，来实现自动化检测、分析与响应，并通过攻击树分析、威胁情报等手段提升问题发现的准确性，最终构建出适应现代软件开发模式的、低阻力的软件供应链安全体系。

当前软件供应链安全已经成为网络空间攻防对抗的焦点，为整体提升软件供应链安全管理的水平，需要从国家、行业、机构、企业各个层面建立软件供应链安全风险的发现能力、分析能力、处置能力、防护能力。展望未来，随着全行业对软件供应链安全意识的提升，软件供应链安全防护将成为一个系统工程，助力各企业在攻防两端的技术博弈中取得主动权。